【專家解讀】個人信息保護法的深遠意義:中國與世界
醞釀多年的《中華人民共和國個人信息保護法》終于在 2021 年 8 月 20 日出臺,作為 “百年未有之大變局” 的制度回應,個人信息保護法外引域外立法智慧,內接本土實務經驗,熔 “個人信息權益” 的私權保護與 “個人信息處理” 的公法監管于一爐,統合私主體和公權力機關的義務與責任,兼顧個人信息保護與利用,奠定了我國網絡社會和數字經濟的法律之基。為了充分理解個人信息保護法的內涵,我們不妨從世界維度與中國維度著眼,以展現其深遠意義。
順應世界潮流
個人信息保護的立法可追溯至德國黑森州 1970 年《資料保護法》。此后,瑞士(1973)、法國(1978)、挪威(1978)、芬蘭(1978)、冰島(1978)、奧地利(1978)、冰島(1981)、愛爾蘭(1988)、葡萄牙(1991)、比利時(1992)等國的個人信息保護法亦景從云集。在大西洋彼岸,1973 年美國發布 “公平信息實踐準則” 報告,確立了處理個人信息處理的五項原則:(1)禁止所有秘密的個人信息檔案保存系統;(2)確保個人了解其被收集的檔案信息是什么,以及信息如何被使用;(3)確保個人能夠阻止未經同意而將其信息用于個人授權使用之外的目的,或者將其信息提供給他人,用作個人授權之外的目的;(4)確保個人能夠改正或修改關于個人可識別信息的檔案;(5)確保任何組織在計劃使用信息檔案中的個人信息都必須是可靠的,并且必須采取預防措施防止濫用。在 “公平信息實踐準則” 所奠定的個人信息保護基本框架之上,美國《消費者網上隱私法》《兒童網上隱私保護法》《電子通訊隱私法案》《金融服務現代化法》(GLB)《健康保險流通與責任法》(HIPAA)《公平信用報告法》相繼出臺。
進入 21 世紀,在數字化浪潮的推動下,個人信息保護的立法陡然加速。2000 到 2010 年,共有 40 個國家頒布了個人信息保護法,是前 10 年的兩倍,而 2010 年到 2019 年,又新增了 62 部個人信息保護法,比以往任何 10 年都要多。延續這一趨勢,截至 2029 年將會有超過 200 個國家或地區擁有個人信息保護法。
我國個人信息保護法正是此歷史進程中的重要一環。回顧過往,世界個人信息保護法迄今已經歷了三代。第一代以經合組織 1980 年《關于隱私保護與個人數據跨境流通指引》和 1981 年歐洲理事會《有關個人數據自動化處理之個人保護公約》為起點。第二代以歐盟 1995 年《個人數據保護指令》為代表,其在第一代原則的基礎上加入了包括 “數據最少夠用”“刪除”“敏感信息”“獨立的個人信息保護機構” 等要素。第三代即為 2018 年生效的歐盟《通用數據保護條例》(GDPR)。與第二代相比,GDPR 大大拓展了信息主體權利,并確立了一系列新的保護制度。我國個人信息保護法采取 “拿來主義、兼容并包” 的方法,會通各國立法,借鑒世界第三代個人信息保護法的先進制度,鑄就熨帖我國國情的規則設計。這主要體現在:
其一,在體例結構上,將私營部門處理個人信息和國家機關處理個人信息一體規制,除明確例外規則外,確保遵循個人信息保護的同一標準。基于此,個人信息保護法兩線作戰,即直面企業超采、濫用用戶個人信息的痼疾,又防范行政部門違法違規處理個人信息的問題,最大限度地保護個人信息權益。其二,在管轄范圍上,個人信息保護法統籌境內和境外,賦予必要的域外適用效力,以充分保護我國境內個人的權益。其三,在 “個人信息” 認定上,采取 “關聯說”,將 “與已識別或者可識別的自然人有關的各種信息” 均囊括在內。其四,在個人信息權益上,不僅賦予個人查詢權、更正權、刪除權、自動化決策的解釋權和拒絕權以及有條件的可攜帶權等 “具體權利”,而且從中升華為 “個人對其個人信息處理的知情權、決定權,限制或者拒絕他人對其個人信息進行處理” 的 “抽象權利”,由此形成法定性和開放性兼備的個人信息權益體系。其五,在個人信息跨境上,采取安全評估、保護認證、標準合同等多元化的出境條件。其六,在大型平臺監管上,對 “重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者” 苛以 “看門人” 義務,完善個人信息治理。
貢獻中國智慧
我國個人信息保護法決不只是回應世界潮流之舉,事實上,它也是我國法律體系自我完善、自我發展的必然結果。從 2018 年 9 月個人信息保護法被納入 “十三屆全國人大常委會立法規劃”,位列 “條件比較成熟、任期內擬提請審議” 的 69 部法律草案之中,到如今個人信息保護法正式頒行,看起來不過歷時三載,但追根溯源,距離 2012 年《全國人大常委會關于加強網絡信息保護的決定》已有 10 年,距離 2003 年國務院信息化辦公室部署個人信息保護法立法研究工作已有 18 年。在近 20 年的進程中,我國個人信息保護規范日漸豐茂,網絡安全法、新修訂的消費者權益保護法、電子商務法、刑法修正案九、民法典等對個人信息保護作出了相應規定,及時回應了國家、社會、個人對個人信息保護的關切。然而,這種分散式的立法,也面臨著體系性和操作性欠缺、權利救濟和監管措施不足的困境,正因如此,一部統一的個人信息保護法正當其時。
任何法律都是特定時空下社會生活和國家秩序的規則,個人信息保護法概莫能外。我國個人信息保護法以現實問題為導向,以法律體系為根基,統籌既有法律法規,體察民眾訴求和時代需求,將之挖掘、提煉、表達為具體可感、周密詳實的法律規則,以維護網絡良好生態,促進數字經濟發展。我國個人信息保護法的中國智慧和中國方案包括但不限于:
其一,在法律淵源上,將個人信息保護上溯至憲法,經由憲法第 33 條第三款 “國家尊重和保障人權”、第 38 條 “中華人民共和國公民的人格尊嚴不受侵犯”、第 40 條 “中華人民共和國公民的通信自由和通信秘密受法律的保護”,宣誓、夯實、提升了個人信息權益的法律位階。其二,在立法目的上,將 “保護個人信息權益” 和 “促進個人信息合理利用” 作為并行的規范目標,秉持 “執其兩端,用其中于民” 的理念,滿足人們對美好生活的向往。為此,個人信息保護法拓展了民法典 “知情同意 + 免責事由” 的規則設計,采取了包括個人同意、訂立和履行合同、履行法定職責和法定義務、人力資源管理、突發公共衛生事件應對、公開信息處理、新聞報道、輿論監督等多元正當性基礎。其三,在規范主體上,將 “個人信息處理者” 作為主要義務人,將 “接受委托處理個人信息的受托人” 作為輔助人,承擔一定范圍內的個人信息安全保障義務。其四,在保護程度上,對于未成年人的個人信息、特定身份、行蹤軌跡、生物識別等信息予以更高力度的保護。其五,在適用場景上,對于 “差別化定價”“個性化推送”“公共場所圖像采集識別” 等社會反映強烈的問題,予以專門規制;開展公開或向第三方提供個人信息、處理敏感個人信息、個人信息出境等高風險處理活動的,應當取得個人的 “單獨同意”。其六,在監管體制上,個人信息保護法采取了 “規則制定權相對集中,執法權相對分散” 的架構,由國家網信部門統籌協調有關部門制定個人信息保護具體規則、標準,國務院有關部門在各自職責范圍內負責個人信息保護和監督管理工作。
“十年辛苦不尋常”,我國個人信息保護法是過往世界經驗和中國智慧的結晶。但同時,“徒法不足以自行”,在立法大功告成之后,個人信息保護法還有待司法和執法的后續接力,才能真正落地生根,最終成為護持個人權益、激勵穩健發展、連接國家命運的數字時代基本法。從出臺到實施,個人信息保護法依然任重而道遠。
作者:許可 對外經濟貿易大學數字經濟與法律創新研究中心執行主任
